“誰收集，誰負責”撐起個人信息“保護傘”

除了明確公民個人信息范圍，劃定“情節嚴重”標準等，網絡安全法還明確了企業在網絡信息安全的責任：“網絡運營者應當對其收集的用戶信息嚴格保密，并建立健全用戶信息保護制度。”

同時，兩高《解釋》也規定，網絡服務提供者拒不履行法律、行政法規規定的信息網絡安全管理義務，經監管部門責令采取改正措施而拒不改正，致使用戶的公民個人信息泄露，造成嚴重后果的，應當依照拒不履行信息網絡安全管理義務罪，追究其刑事責任。

在福建元一律師事務所律師郭承恩看來，確立“誰收集、誰負責”的基本原則，這將有效約束公民個人信息采集主體審慎使用公民個人信息，進而在信息采集源頭建立“防護欄”。

公開報道顯示，２０１６年，全國公安機關共偵破網絡侵犯公民個人信息案件數量２１００多起，查獲被侵害的公民個人信息５００多億條，抓獲犯罪嫌疑人５０００多人，其中屬于各行業內部人員的達４５０多人。

業界人士指出，侵犯公民個人信息犯罪中，直接販賣者只是鏈條的重要一環，卻不是問題的全部，其背后是一些手機應用暗藏風險隱患，一些企業個別“內鬼”興風作浪，一些互聯網公司安全防范不足、信息管理粗放等“業內”問題。

華東地區一家互聯網公司網絡安全負責人宋宏宇說，企業的安全“缺口”是信息安全的重點，過去企業安全意識薄弱，精力更多投到產品上，導致企業安全“生態”不好。明確了企業的責任后，如果企業在安全防范上沒有按照法律規定去做，過去用戶數據泄露就只是發個聲明了事的，現在要承擔明確的法律責任。

為切實加大對行業“內鬼”參與公民個人信息泄露案件的懲治力度，《解釋》還明確在認定“情節嚴重”時，對行業“內鬼”泄露信息的數量、數額標準都要減半計算，入罪門檻更加嚴格。